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PROCEDE DE PROTECTION CONTRE LE VOL DE LA VALEUR D'AUTHENTIFICATION POUR CARTES A 
PUCE(S) MULTI-APPLICATIONS, CARTES A PUCE(S) METTANT EN OEUVRE LE PROCEDE ET TERMINAUX 
SUSCEPTIBLES DE RECEVOIR LESDITES CARTES. 

L'invention concerne un procede de protection contre 
le vol de la valeur d'authentification pour carte a puce (s) 
multi applications. Selon le procede, il est prevu, pour em- 
pecher une application possedant un acces vers un terminal 
de simuler le menu invitant I'utilisateur a presenter la valeur 
d'authentification, un mecanisme forgant I'acces a I'interfa- 
ce de presentation et de verification de la valeur d'authenti- 
fication par le systeme d'exploitation de la carte quelle que 
soit ('application ayant initie le processus, des lors qu'il y a 
une demande de valeur d'authentification. 

L'invention s'applique a des terminaux (T) susceptibles 
de communiquer avec des cartes a puces (C) comprenant 
& cette fin au moins une touche fonction (Pi N ) ou une se- 
quence de touches fonction reservee pour effectuer un ap- 
pel systeme a la carte et initier !a presentation de la valeur 
d'authentification. 
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PROCEDE DE PROTECTION CONTRE LE VOL DE LA VALEUR 
D'AUTHENTIFICATION POUR CARTES A PUCE (S) MULTI- 
APPLICATIONS, CARTES A PUCE(S) MET TAN T EN (EUVRE LE 
PROCEDE ET TERMINAUX SUSCEPTIBLES DE RECEVOIR LESDITES 

CARTES 



L' invention concerne un procede de protection 
contre le vol de la valeur d' authentif ication pour les 
cartes a puce(s) multi applications aptes a comniuniquer 
avec l'exterieur au moyen d' un terminal. Elle concerne 
5 egalement les cartes a puce(s) mettant en oeuvre ledit 
procede et les terminaux susceptibles de recevoir 
lesdites cartes. L' invention s' applique tout 
particulierement aux cartes a puces multi applications 
utilisees avec les telephones mobiles tels que les 
10 telephones definis par le standard GSM. 

On entend par cartes a puce(s) multi-applications 
des cartes contenant une ou plusieurs puces de circuit 
integre lesdites cartes etant destinees a pouvoir 
executer differents programmes d' application charges ou 
15 telecharges au cours de la vie de la carte. 

Parmi les solutions de cartes multi-applications 
existantes a ce jour, nous pouvons signaler 
« JavaCard » defini par Sun ou « SmartCard for 
Windows » defini par Microsoft. 
20 Pour simplifies on parlera dans la suite 

d' applications pour designer les programmes 
d' applications (ou Applet en terminologie anglo 
saxonne) . 

On entend par valeur d' authentif ication, que l'on 
25 denomme egalement code d' authentif ication, une valeur 
permettant d' authentif ier le titulaire de la carte. La 
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valeur d' authentif ication peut etre une donnee connue 
du titulaire seul (en general, un numero 
d' identification personnel ou PIN- Personnal Identifier 
Number), deduite d' une caracteristique biometrique du 
5 titulaire ( par exemple, voix, empreinte digitale, 
chaleur...) ou resultant d'une action que seul le 
titulaire peut ef fectuer (par exemple, signature) . 

Pour des raisons de compatibility avec les cartes a 
puce(s) ne supportant qu'une unique application, et de 

10 simplicity pour 1' utilisateur de la carte, les cartes a 
puce multi-applications ont generalement une seule 
valeur d' authentif ication pour toutes les applications. 
Ainsi, la specification OP definie par VISA, et qui 
tient lieu actuellement de standard pour le 

15 chargement/ telechargement et la gestion interne 
d f applications sur les cartes a puce multi- 
applications, definit un unique PIN global pour toutes 
les applications residentes et futures de la carte. 

Le probleme souleve par le deposant dans le cas 

20 d'une carte multi-applications, vient de ce que la 
carte est prevue pour pouvoir charger ou telecharger de 
nouvelles applications pendant toute sa vie. A priori 
ceci est un avantage, mais en pratique cette 
caracteristique rend la carte vulnerable, car des 

25 applications malveillantes pourront etre chargees avec 
d' autres applications de maniere transparente vis a vis 
du titulaire. C'est done une porte ouverte a de telles 
applications qui bien sur en pratique vont chercher a 
decouvrir la valeur d' authentif ication de la carte. 

30 Suite a cette observation, le deposant a identifie 

une attaque permettant de trouver la valeur 
d' authentif ication de la carte. 

Cette attaque suppose 1' existence d'une application 
malveillante possedant un acces vers I'exterieur. 
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Une application possede un acces vers un terminal 
des lors qu' il existe un terminal permettant a 
1' application de directement dialoguer avec 
1' utilisateur via ce terminal. On peut citer par 
5 exemple dans le cadre du GSM les applications pouvant 
modifier les menus affiches sur le telephone mobile. 

Voici alors la procedure suivie lors de cette 
attaque au moyen d' une application qui peut dialoguer 
avec l'exterieur. 
10 En fait, 1' application utilise . sa capacite a 

dialoguer avec l'exterieur pour simuler sur le terminal 
1' interface qui permet de demander a 1' utilisateur 
d'entrer la valeur d' authentif ication . 

En effet, la verification de l'identite de 
15 1' utilisateur de la carte est generalement realisee par 
1' intermediaire d' une application en charge d'afficher, 
sur l'ecran du terminal dans lequel est inseree la 
carte a puce(s), un menu invitant 1' utilisateur de 
presenter la valeur d' authentif ication. Une fois la 
20 valeur d' authentif ication presentee, le terminal 
retourne cette valeur a ladite application qui verifie 
(eventuellement par 1' intermediaire d'une application 
en charge de la verification de la valeur 
d' authentif ication) que la valeur presentee par 
25 1' utilisateur est identique a la valeur 

d' authentif ication de la carte. Si tel est le cas, 
1' application reppnd par 1' affirmation ; par la 
negation dans le cas contraire. 

L' acces a l f application en charge de l'affichage, 
30 sur l'ecran du terminal dans lequel est inseree la 
carte a puce(s), du menu invitant 1' utilisateur a 
presenter la valeur d' authentif ication est generalement 
controlee afin que seules les applications autorisees 
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puissent initier la verification de la valeur 
d' authentif ication. 

Neanmoins, une application malveillante possedant 
un acces vers un terminal peut simuler sur ce terminal 
5 le menu invitant 1' utilisateur a presenter sa valeur 
d' authentif ication. L' utilisateur va alors en toute 
confiance presenter sa valeur d' authentif ication, 
permettant ainsi a 1' application malveillante de 
decouvrir cette valeur. Par la suite, 1' application 

10 malveillante pourra, grace a sa capacite de dialoguer 
vers 1'exterieur, fournir la valeur d' authentif ication 
au developpeur de 1' application malveillante. Ceci sera 
d'autant plus facile dans le cas d'un terminal tel 
qu'un telephone mobile pour lequel 1' application 

15 malveillante pourra composer un numero afin de 
communiquer la valeur d' authentif ication . 

La presente invention a pour but de remedier a ces 
problemes . 

La presente invention a pour objet un procede de 
20 protection contre le vol de la valeur 
d' authentif ication pour carte a puce(s) multi 
applications comprenant un systeme d' exploitation, 
principalement caracterise en ce qu'il comprend, pour 
empecher une application possedant un acces vers un 
25 terminal de simuler le menu invitant 1' utilisateur a 
presenter la valeur d' authentif ication, un mecanisme 
forgant 1' acces a 1' interface de presentation de la 
valeur d' authentif ication par le systeme d' exploitation 
de la carte quelle que soit 1' application ayant initio 
30 le processus, des lors qu'il y a une demande de valeur 
d' authentif ication . 

Selon une autre caracteristique, le mecanisme 
comporte la reservation sur le terminal d' au moins une 
touche fonction ou d'une sequence de touches fonction 
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apte a provoquer un appel du systeme d' exploitation de 
la carte* 

La mise en oeuvre du mecanisme comprend la sequence 
d' actions suivantes : 

- l'appui sur la ou les touches fonction par 
1'utilisateur de la carte pour autoriser la 
presentation de la valeur d' authentif ication et 
provoquer un verrouillage provisoire des applications 
de la carte, 

-la presentation de la valeur d' authentif ication, 

- la mise en oeuvre de la procedure de verification 
de la valeur d' authentif ication par le systeme 
d' exploitation apres les deux premieres actions. 

L' invention concerne egalement une carte a puce(s) 
multi applications comprenant un systeme d' exploitation 
et des moyens de communication avec un terminal, 
principalement caracterise en ce qu'elle comprend des 
moyens pour que les appels systeme en provenance du 
terminal pour la presentation de la valeur 
d' authentif ication ne puissent etre intercepter par les 
applications . 

L' invention concerne un terminal susceptible de 
communiquer avec une carte a puce(s), principalement 
caracterise en ce qu'il comprend au moins une touche 
fonction ou une sequence de touches fonction reservee 
pour effectuer un appel systeme a la carte et initier 
la presentation de la valeur d' authentif ication. 

Le terminal pourra etre un telephone mobile par 
exemple du type GSM. 

D' autres particularity et avantages de 1' invention 
apparaitront clairement a la lecture de la description 
qui est faite ci apres et en regard des dessins sur 
lesquels : 
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la figure 1 represente le schema illustrant la 
mise en ceuvre du procede selon 1' invention, 
la figure 2 represente le schema d' un terminal 
susceptible de communiquer avec une carte a 
5 puce(s) selon 1' invention, 

la figure 3 represente le schema d'une carte 
multi application selon 1' invention. 
Une realisation pratique du procede selon 
1' invention va etre decrite dans la suite en regard de 
10 la figure 1. 

Le procede comprend un verrouillage provisoire de 
1' application selectionnee par 1' utilisateur ou d'une 
application appelee par 1' application selectionnee par 
cet utilisateur ; un appel du systeme d' exploitation de 
15 la carte a puce(s) pour la mise en oeuvre par le systeme 
d' exploitation de la procedure de verification de la 
valeur d' authentif ication . 

Selon la realisation proposee, le verrouillage est 
obtenu par 1' association d'une touche fonction ou d'une 
20 sequence de touches prevue sur le terminal pour pouvoir 
initier la presentation de la valeur d' authentif ication 
et un appel systeme declenche par l'appui de cette 
touche fonction ou de la sequence de touches fonction. 
Des lors que 1' utilisateur voie apparaitre un message 
25 de demande de la valeur d' authentif ication sur 1'ecran 
du terminal, il ne peut poursuivre la procedure de 
presentation de la valeur d' authentif ication qu'apres 
avoir appuye sur ladite touche, garantissant de cette 
maniere que la procedure de verification de la valeur 
30 d' authentif ication est effectuee par le systeme 
d' exploitation ou sous son controle. 

En effet, lorsqu'une application s' execute au sein 
de la carte et que le menu de presentation de la valeur 
d' authentif ication apparait sur 1'ecran du terminal, 



7 



2804234 



I'utilisateur doit appuyer sur la touche fonction 
prevue portant la reference P ]N sur les schemas (ou sur 
la sequence de touches fonction) pour presenter sa 
valeur d' authentif ication . Cette action permet de 
5 verrouiller provisoirement 1' application en cours 
d' execution (c'est a dire que 1' application est 
suspendue) et de lancer un appel vers le systeme 
d' exploitation de la carte. C'est alors sous le 
controle du systeme d' exploitation qu'est effectuee la 

10 procedure de presentation et de verification de la 
valeur d' authentif ication. Cette verification consiste 
a comparer la valeur d' authentif ication presentee par 
I'utilisateur avec la valeur d' authentif ication 
memorisee dans la carte. 

15 Lorsque la valeur d' authentif ication presentee par 

I'utilisateur est correcte, le systeme d' exploitation 
de la carte deverrouille 1 ' application en cours 
d' execution qui peut alors reprendre son execution a 
l'endroit ou elle a ete suspendue ; dans le cas 

20 contraire, le systeme d' exploitation affiche un message 
d'erreur et execute les actions de securite adequates ( 
par exemple verrouiller def ini tivement 1' application et 
afficher un message d'alerte). 

La figure 2 illustre un terminal T apte a 

25 communiquer avec une carte a puce(s) . Ce terminal 
possede de maniere connue une unite centrale de 
traitement UC avec une memoire de programme MPT. Cette 
memoire comporte une interface IT de communication avec 
les cartes a puce(s) classique en soi . Seule une 

30 modification est prevue pour permettre au terminal de 
se mettre en attente de 1'appui sur la touche Pi N ( ou 
la sequence de touches fonction) apres l'affichage du 
message de demande de la valeur d' authentif ication et 
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d' envoyer un appel au systeme d' exploitation de la 
carte . 

Une carte a puce(s) C multi applications a ete 
schematisee sur la figure 3 afin d'illustrer les 
differents elements entrant dans la mise en oeuvre du 
procede conforme a 1' invention. Prenons le cas pour 
simplifier ou une seule puce P de circuit integre est 
presente dans la carte, il s'agit d'une puce contenant 
un ou plusieurs microprocesseur (s) et ses memoires 
associees en particulier une memoire de programmes MPC. 
Cette memoire contient le systeme d r exploitation et 
1' interface de presentation et de verification de la 
valeur d' authentif ication . En general une autre memoire 
de programmes MPA est destinee a memoriser les 
differents programmes d' applications Al, A2,... An. 



9 



2804234 



REVINDICATIONS 

1. Procede de protection contre le vol de la valeur 
d' authentif ication pour carte a puce(s) multi 
applications cornportant un systeme d' exploitation et 
une interface de presentation et de verification de la 
valeur d' authentif ication de 1' utilisateur de ladite 
carte, caracterise en ce qu'il comprend, pour empecher 
une application possedant un acces vers un terminal de 
simuler le menu invitant 1' utilisateur a presenter la 
valeur d' authentif ication, un mecanisme forgant 1' acces 
a 1' interface de presentation et de verification de la 
valeur d' authentif ication par le systeme d' exploitation 
de la carte quelle que soit 1' application ayant initie 
le processus, des lors qu'il y a une demande de valeur 
d' authentif ication. 

2. Procede de protection contre le vol de la valeur 
d' authentif ication selon la revendication 1, 
caracterise en ce que le mecanisme comporte la 
reservation sur le terminal d' au moins une touche 
fonction ou d'une sequence de plusieurs touches 
fonction apte a provoquer un appel du systeme 
d' exploitation de la carte. 

3. Procede de protection contre le vol de la valeur 
d' authentif ication selon la revendication 1 ou 2, 
caracterise en ce que la mise en oeuvre du mecanisme 
comprend la sequence d' actions suivantes : 

l'appui sur la ou les touches fonction par 
l'utilisateur de la carte pour autoriser la 
presentation de la valeur d' authentif ication et 
provoquer un verrouillage provisoire de 1' application, 
- la presentation de la valeur d' authentif ication, 
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- la mise en oeuvre de la procedure de verification 
de la valeur d' authentif ication par le systeme 
d' exploitation apres les deux premieres actions. 

5 4. Carte a puce(s) raulti applications comprenant un 

systeme d' exploitation et des moyens de communication 
avec un terminal, caracterise en ce qu'elle comprend 
des moyens (MPC) pour que les appels systeme en 
provenance du terminal (T) pour la presentation de la 
10 valeur d' authentif ication ne puissent etre interceptes 
par les applications de la carte. 

5. Terminal susceptible de communiquer avec une 
carte a puce(s), caracterise en ce qu' il comprend au 
15 moins une touche fonction (Pin) ou une sequence de 
touches fonction reservee pour effectuer un appel 
systeme a la carte et initier la presentation de la 
valeur d' authentif ication. 

20 6. Terminal selon la revendication 5, caracterise 

en ce qu'il est constitue par un telephone mobile- 



2804234 



1/2 



TERMINAL 



CARTE 



Application selectionnee 

ou appelee par 
l'application 
selectionnee 

Message=Demande 

du code authentification 



4 



r 

|Appui sur touche(s) 
I fonction 



M 



4 



Presentation code 
authentification 



I Verrouillage provisoire ! 

F" [deselection] de l'application ' 



I 
I 
I 



Appel systeme 



j 



4 



:j£> Verification code authentification 
I (code entre, code interne) 



non 



Code correct 
oui 



Retour a 1 application 
selectionnee et execution 



v 

Verrouillage 
definitif 
de l'application 
selectionnee 



2804234 



2/2 



Messages 




Memoire 
PROG. 



-MPT 



Communication 
avec . carte 
a puce 



IT 



APPEL 
SYSTEME 



MPC 



Fig^3 




SYSTEME 
EXPLOITATION « 



INTERFACE 
VERIFICATION 
CODE 
AUTHENTIFICATION 



Application 1 
Application 2 



Application n 
V * J 



APPEL 
SYSTEME 



■MPA 



REPUBLIOUE FRANQAISE 




NATIONAL DE 
LA PROPBIETE 
IMDUSTRIELLE 



RAPPORT DE RECHERCHE 

PRELIMINAIRE 

6tabli sur la base des demieres revendications 
d6pos6es avant le commencement de la recherche 



2804234 

N° d'enregistrement 
national 

FA 584054 
FR 0000829 



DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie 



Cdalion du document avec indication, en cas de besoin. 
des parties pertinentes 



EP 0 325 776 A (IBM) 

2 aoQt 1989 (1989-08-02) 

* page 3, ligne 5 - llgne 49 * 

US 6 005 942 A (CHAN ALFRED ET AL) 
21 decembre 1999 (1999-12-21) 

* colonne 3 - colonne 6 * 



Dale cf achevement de la recherche 

23 octobre 2000 



Revendication(s) 
ccneernee(s) 



1-6 



1-6 



Classement attrlbue 
a 1'inventk.n par I'lNPi 



GO6K19/073 

G06K7/00 

H04Q7/32 



DOMAINES TECHNIQUES 
RECHERCHES (lnt.CL.7) 



G07F 



Examinateur 

Wolles, B 



CAT£GORIE DES DOCUMENTS CITES 



X : particuBeremem pertinent a tui seul 

Y : particuHerement pertinent en combinaison avec i 

autre document de ta meme categorie 
A : aniere-plan technotogtque 
O : divulgation non-ecrite 
P : document intercalate 



T : theorie ou principe a ta base de rinvention 

E : document de brevet beneticianl tfune date anterieure 

a la date de depot et qui n'a ete publie qu'a cette date 

de depot ou qu'a une date posterieure. 
O : cite dans la demande 
L : cite pour dartres ratsons 



& : membre de ta meme tamilte. document correspondani 



esp@cenet document view 



Page 1 of 1 



Protecting of multiple application smart card against fraud by using 
mechanism forcing access to presentation and verification interface of 
authentication string on demand of authentication string from terminal 



Patent number: 
Publication date: 
Inventor: 
Applicant: 
Classification: 

- international: 

- european: 
Application number: 
Priority number(s): 



FR2804234 
2001-07-27 

GIRARD PIERRE; BIDAN CHRISTOPHE 
GEMPLUS CARD INT (FR) 

G06K1 9/073; G06K7/00; H04Q7/32 
G07F7/10D10M2; G07F7/10D6F 
FR20000000829 20000124 
FR20000000829 20000124 



Also published as: 

m WO01 55980 (A1) 
m US2003079127 (A1) 



Abstract of FR2804234 

A smart card(s) includes an operating system 
and an interface for presentation and verification 
of an authentication string of a user. A system of 
the card uses a mechanism forcing the access to 
the presentation and verification interface of the 
authentication string when it initiates the process 
at the time of a demand of authentication string 
from a terminal. Independent claims are included 
for: (a) a multiple application smart card (b) a 
terminal capable of communication with a smart 
card 
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